13.4. Zonen
firewalld kann verwendet werden, um Netzwerke in verschiedene Zonen zu unterteilen, je nach dem Grad des Vertrauens, den der Benutzer für die Schnittstellen und den Datenverkehr innerhalb dieses Netzwerks festgelegt hat. Eine Verbindung kann nur Teil einer Zone sein, aber eine Zone kann für viele Netzwerkverbindungen verwendet werden.
NetworkManager benachrichtigt firewalld über die Zone einer Schnittstelle. Sie können den Schnittstellen Zonen zuweisen mit:
-
NetworkManager -
firewall-configtool -
firewall-cmdBefehlszeilen-Tool - Die RHEL Web-Konsole
Die letzteren drei können nur die entsprechenden NetworkManager Konfigurationsdateien bearbeiten. Wenn Sie die Zone der Schnittstelle über die Webkonsole, firewall-cmd oder firewall-config ändern, wird die Anfrage an NetworkManager weitergeleitet und nicht vonfirewalld bearbeitet.
Die vordefinierten Zonen werden im Verzeichnis /usr/lib/firewalld/zones/ gespeichert und können sofort auf jede verfügbare Netzwerkschnittstelle angewendet werden. Diese Dateien werden nur dann in das Verzeichnis /etc/firewalld/zones/ kopiert, wenn sie geändert werden. Die Standardeinstellungen der vordefinierten Zonen sind wie folgt:
block-
Alle eingehenden Netzwerkverbindungen werden mit einer icmp-host-prohibited-Meldung für
IPv4und icmp6-adm-prohibited fürIPv6zurückgewiesen. Es sind nur Netzwerkverbindungen möglich, die von innerhalb des Systems initiiert werden. dmz- Für Computer in Ihrer demilitarisierten Zone, die öffentlich zugänglich sind und nur begrenzten Zugriff auf Ihr internes Netzwerk haben. Es werden nur ausgewählte eingehende Verbindungen akzeptiert.
drop- Alle eingehenden Netzwerkpakete werden ohne Benachrichtigung verworfen. Nur ausgehende Netzwerkverbindungen sind möglich.
external- Zur Verwendung in externen Netzwerken mit aktiviertem Masquerading, insbesondere für Router. Sie vertrauen den anderen Computern im Netzwerk nicht, dass sie Ihren Computer nicht beschädigen. Es werden nur ausgewählte eingehende Verbindungen akzeptiert.
home- Für die Verwendung zu Hause, wenn Sie den anderen Computern im Netzwerk weitgehend vertrauen. Es werden nur ausgewählte eingehende Verbindungen akzeptiert.
internal- Zur Verwendung in internen Netzwerken, wenn Sie den anderen Computern im Netzwerk weitgehend vertrauen. Es werden nur ausgewählte eingehende Verbindungen akzeptiert.
public- Zur Verwendung in öffentlichen Bereichen, in denen Sie anderen Computern im Netzwerk nicht vertrauen. Es werden nur ausgewählte eingehende Verbindungen akzeptiert.
trusted- Alle Netzwerkverbindungen werden akzeptiert.
work- Für die Verwendung am Arbeitsplatz, wo Sie den anderen Computern im Netzwerk meist vertrauen. Nur ausgewählte eingehende Verbindungen werden akzeptiert.
Eine dieser Zonen wird als Zone default festgelegt. Wenn Schnittstellenverbindungen zu NetworkManager hinzugefügt werden, werden sie der Standardzone zugewiesen. Bei der Installation ist die Standardzone in firewalld auf die Zone public eingestellt. Die Standardzone kann geändert werden.
Die Netzwerkzonennamen sollten selbsterklärend sein und dem Benutzer eine schnelle, sinnvolle Entscheidung ermöglichen. Um Sicherheitsprobleme zu vermeiden, überprüfen Sie die Standardzonenkonfiguration und deaktivieren Sie alle unnötigen Dienste entsprechend Ihren Bedürfnissen und Risikobewertungen.
Zusätzliche Ressourcen
-
firewalld.zone(5)man-Seite
